Comment vérifier si un site Web est sûr pour acheter (et prouver que le vôtre l'est)

Oct 03, 2023

Au deuxième trimestre 2020, HelpNet Security a signalé que plus de 18 000 faux sites Web, en moyenne, étaient créés quotidiennement. Sur la base de ce calcul, cela signifie qu'une moyenne d'au moins 6,57 millions de sites Web frauduleux ont été produits chaque année. Cela signifie que vos employés doivent savoir comment vérifier si un site Web est sûr pour acheter afin que votre entreprise ne se fasse pas arnaquer par un faux fournisseur.

Maintenant, mettez-vous à la place de vos clients potentiels. Ils essaient de déterminer s'ils doivent faire affaire avec votre entreprise. Il y a plusieurs questions qu'ils peuvent poser à propos de votre site Web :

Explorons ce qui constitue un site "sûr" du point de vue de l'utilisateur et comment savoir si un site Web est sûr pour acheter. Nous parlerons également de ce que les administrateurs de sites Web peuvent faire pour aider à prouver aux visiteurs que leurs sites Web sont sûrs et légitimes.

Discutons-en.

Lorsqu'il s'agit d'évaluer la sécurité d'un site Web, il y a certaines choses auxquelles les utilisateurs doivent faire attention. Historiquement, nous indiquions aux gens de vérifier l'icône du cadenas de sécurité dans le navigateur. (Pendant des décennies, cette icône a servi de moyen de communiquer qu'un site Web est sécurisé). Cependant, comme nous l'avons récemment partagé dans un autre article de blog, l'icône du cadenas sécurisé dans Chrome suivra le chemin de l'oiseau Dodo avec le lancement de la version 117 de Chrome (vers septembre 2023). Pourquoi? Parce que les gens interprétaient à tort un site Web sécurisé pour un site Web sûr. Mais comme nous le verrons un peu plus tard, ces termes ne sont pas synonymes.

Lorsque les sites Web utilisent le protocole HTTPS, cela signifie que le site Web utilise le cryptage pour sécuriser les données transmises entre le client et le serveur. Fondamentalement, le navigateur du visiteur du site Web crypte les données à l'aide d'une clé de cryptage et le serveur destinataire les décrypte à l'aide d'une clé de décryptage. Ceci est rendu possible grâce à un certificat SSL/TLS.

Ainsi, au lieu de l'icône de cadenas sécurisé, vous verrez à la place une icône "syntoniser" qui ressemble à ceci :

Mais le simple fait d'indiquer qu'un site Web est sécurisé ne vous donne pas une image complète lorsqu'il s'agit de dire si un site Web est sûr…

Mais ce n'est pas parce que quelque chose est crypté qu'il est automatiquement sûr. C'est l'une des deux principales raisons pour lesquelles l'équipe de sécurité de Google Chrome déclare avoir décidé de se débarrasser complètement du cadenas de sécurité :

Bien qu'il existe de nombreux mots que nous aimons utiliser de manière interchangeable dans l'industrie, sûr et sûr ne devraient pas être deux d'entre eux. Pourquoi? Parce que même s'ils semblent être la même chose en surface, la vérité est qu'ils ne le sont pas.

UNsécurisé site Web signifie que le site Web utilise une connexion cryptée pour protéger les données contre les attaques d'interception. Ces types d'attaques se produisent lorsqu'un attaquant (c'est-à-dire un homme au milieu) essaie de s'interposer entre deux parties communicantes pour lire, modifier ou voler leurs données pendant qu'elles sont en transit.

UNsûrsite Web, d'autre part, implique non seulement que vous utilisiez une connexion sécurisée pour transmettre et recevoir des données, mais que vous sachiez qui est la partie à l'autre bout de la connexion qui recevra vos données sensibles.

Un site Web sécurisé, sans identité vérifiable, donne un faux sentiment de sécurité. Même si vous utilisez le meilleur algorithme de cryptage, cela ne vous servira à rien si la personne à l'autre bout (c'est-à-dire celle qui a la clé de décryptage) n'est pas digne de confiance.

Maintenant que nous connaissons la différence entre sûr et sécurisé, il est temps d'explorer rapidement certaines des façons de vérifier l'authenticité et la sécurité d'un site Web.

Si vous souhaitez acheter quelque chose sur un site Web, il est toujours judicieux d'exécuter le domaine du site Web ou toute URL spécifique via un scanner de site Web avant de cliquer dessus. Cette pratique peut vous aider à éviter que votre ordinateur ou votre appareil mobile ne soit infecté par des logiciels malveillants.

Par exemple, entrez l'URL d'un site Web dans l'outil de vérification d'URL de VirusTotal.com pour voir s'il affiche des résultats inquiétants. Par exemple, nous avons utilisé malwarewebsitetest.com comme exemple :

Si vous recevez un lien contenant une URL raccourcie (par exemple, bit.ly, tinyurl, goo.gl, etc.), vous pouvez également utiliser un outil d'extension d'URL pour analyser les URL courtes dans leurs versions complètes. Par exemple, nous avons pris l'URL raccourcie https://bit.ly/3ME9e3D et l'avons étendue pour lire https://thesslstore.com/blog.

Il est maintenant plus important que jamais pour les consommateurs et les employés d'évaluer l'identité numérique d'un site Web et de l'organisation qui en est propriétaire. Pourquoi? Parce que si vous ne savez pas à qui vous vous connectez, vous pourriez vous retrouver victime d'une usurpation d'identité, d'achats frauduleux ou d'une violation de données plus importante.

Une fois que vous êtes sur un site Web, vous pouvez vérifier les informations du certificat SSL/TLS du site. Lorsque vous utilisez un certificat de validation d'organisation (OV) ou de validation étendue (EV), l'identité numérique validée de votre organisation est liée au domaine. Par exemple, le certificat de sécurité du site Web de TheSSLstore.com indique notre nom commun (CN), le nom de l'organisation (O), l'emplacement (L), l'état (S) et d'autres informations :

Vous ne voyez aucune information semblable à celle-ci ? Cela signifie probablement que le site Web utilise un certificat de validation de domaine (DV). Cela signifie que l'autorité de certification (CA) qui l'a délivré a seulement vérifié que le demandeur du certificat a le contrôle du domaine ; il n'a fait aucune fouille ou vérification supplémentaire de l'identité numérique de l'entreprise elle-même.

Il n'est pas rare que des entreprises légitimes utilisent des certificats DV. Tous les sites Web n'ont pas besoin d'un niveau de validation plus élevé (par exemple, les sites Web informatifs qui ne collectent pas de données sensibles). Mais il est important de noter que ces certificats de validation minimale sont également couramment utilisés par les cybercriminels car ils sont gratuits (ou peuvent être achetés à bas prix) et ne nécessitent pas de validation commerciale. En fait, l'analyse par PhishLabs des sites Web de phishing au premier trimestre 2021 a montré que plus de 94 % des sites Web de phishing utilisaient des certificats SSL/TLS à validation de domaine (DV).

Maintenant que vous avez effectué ces premières vérifications, l'étape suivante consiste à examiner le contenu du site Web avec un œil critique. Lisez le contenu, passez en revue les produits et les prix, et demandez-vous : est-ce que ça s'additionne ?

Un autre excellent moyen de savoir si un site Web est sûr est de lire les avis laissés par les autres. Bien sûr, ce n'est pas infaillible, car les méchants peuvent publier de fausses critiques en ligne ou engager des personnes pour le faire à leur place. Mais c'est toujours une méthode de vérification supplémentaire car quelqu'un qui se fait arnaquer publiera inévitablement des critiques négatives sur des sites comme Yelp, Trustpilot, Consumer Reports, Angie's List et autres.

Vous pouvez également consulter des sites Web tels que le Better Business Bureau (BBB) ​​pour voir si des plaintes ont été déposées contre le site Web ou la société au cours des dernières années.

Ce n'est toujours pas suffisant? Vous pouvez aller encore plus loin et vérifier la légitimité du propriétaire du domaine. Aux États-Unis, vous pouvez le faire en vérifiant les registres de l'État dans lequel la société prétend être enregistrée. Par exemple, nous pouvons rechercher des informations sur l'autorité de certification DigiCert, Inc. .:

Pour plus d'informations sur la façon de déterminer si un site Web est un faux ou une arnaque, consultez notre autre ressource connexe.

Maintenant, il est temps de retourner le script et de regarder les choses du point de vue des propriétaires et des administrateurs de sites Web. Si vous cherchez des moyens de rendre votre site Web plus authentique, la meilleure façon d'y parvenir est de passer par la confiance numérique.

La confiance numérique est le fondement de la sécurité Internet, et elle repose principalement sur l'infrastructure à clé publique (PKI). Cela comprend tout, depuis les normes, les processus, les autorités de certification, les certificats numériques et les clés cryptographiques qui composent l'écosystème PKI. Mais pourquoi l'établissement de la confiance numérique est-il vital ? Considérer ce qui suit.

Les recherches du Baymard Institute montrent que le taux moyen d'abandon de panier d'achat en ligne en 2023 est de 69,99 %. Maintenant, considérez que les autres recherches de Baymard montrent que 18% des consommateurs abandonneront leur panier lors du paiement s'ils ne font pas confiance au site Web avec leurs informations de carte de crédit. Cela signifie que près d'un client sur cinq partira s'il ne se sent pas en sécurité en utilisant votre site Web.

Alors, comment pouvez-vous utiliser la confiance numérique pour prouver l'authenticité, la sécurité et la sûreté de votre site Web ?

La première étape consiste à acheter et à installer un certificat SSL/TLS de validation d'entreprise sur votre serveur Web. Cela garantira que la connexion entre votre site Web et le client Web du visiteur est sécurisée et cryptée. De cette façon, les données sensibles sont protégées contre les attaques d'interception et la compromission pendant leur transit.

L'activation de HTTPS rapproche également votre organisation de la conformité aux normes et réglementations de sécurité et de confidentialité des données du secteur. Cela inclut des réglementations telles que :

Bien que le cryptage soit le même quel que soit le type de certificat SSL/TLS que vous utilisez, il existe une différence dans le niveau d'identité numérique qu'un certificat peut fournir. Par exemple, un certificat DV offre le niveau minimum de validation (et d'assurance d'identité), tandis que les certificats OV ou EV offrent des niveaux de validation plus élevés.

Pour les entreprises qui collectent des données sensibles, il est essentiel que vous disposiez au minimum d'un certificat OV. Si votre entreprise traite des données hautement sensibles (c'est-à-dire des informations financières, de propriété intellectuelle, des informations médicales ou liées à l'assurance), vous feriez mieux d'utiliser un certificat EV. L'utilisation d'un certificat EV montre que vous avez subi les contrôles de validation les plus stricts, afin que les utilisateurs puissent se sentir plus en confiance pour faire des affaires avec votre site Web.

Lorsque vous achetez un certificat SSL/TLS auprès de grandes marques telles que DigiCert et Sectigo, vous obtenez également ce que l'on appelle un sceau de site. Il s'agit d'une marque de sécurité visuelle qui apparaît sur votre site Web et qui contribue à renforcer la confiance de vos clients. Ils appartiennent généralement à l'une des deux catégories.

Voici une capture d'écran des informations vérifiées qui s'affichent lorsque vous cliquez sur le sceau intelligent sécurisé DigiCert de TheSSLstore.com :

Bien que cela ne vous aide pas directement à prouver que votre site Web est sûr, la sécurisation des domaines liés au nom de votre entreprise peut vous aider à éviter les problèmes ultérieurs liés aux attaques d'usurpation de domaine. Vous pouvez acheter ces domaines similaires, activer HTTPS sur eux et les configurer pour rediriger vers le véritable site Web de votre entreprise.

Pourquoi s'embêter à se donner tout ce mal ? Les cybercriminels achètent souvent des domaines similaires pour se faire passer pour votre marque et faire croire aux clients qu'il s'agit de votre site Web légitime. L'achat et la sécurisation de ces domaines avant que les méchants ne le fassent signifient que les méchants ont un moyen de moins d'essayer de cibler vos clients et de ternir votre réputation.

Il est maintenant plus important que jamais de vous assurer que vous utilisez des sites Web sécurisés et sécurisés. En tant qu'utilisateur, cela signifie rechercher des vérifications d'identité numérique et évaluer attentivement les magasins en ligne auprès desquels vous achetez pour déterminer s'ils utilisent des connexions cryptées.

En tant que propriétaire de site Web, cela signifie fournir aux utilisateurs des moyens de vérifier l'authenticité de votre site Web. Il s'agit d'affirmer votre identité numérique de manière vérifiable auprès de tiers de confiance. Non seulement c'est généralement une bonne pratique d'utiliser HTTPS dans une perspective de confiance, mais c'est aussi une exigence de conformité.

Nous espérons que vous avez trouvé ces informations utiles. Comme toujours, si vous avez des idées supplémentaires que vous aimeriez apporter, assurez-vous de les partager dans la section des commentaires ci-dessous.